كشف خبراء الأمن السيبراني عن حملة تصيد جديدة تقودها مجموعة APT28 الروسية، تستخدم فيها برمجية PRISMEX الخبيثة لاستهداف أوكرانيا وحلف الناتو.
ما هي برمجية PRISMEX الخبيثة وكيف تعمل؟
وفقاً لأحدث التقارير التي تابعها فريق تيكبامين، تمثل PRISMEX حزمة برمجيات خبيثة متطورة لم تكن معروفة سابقاً. تعتمد هذه البرمجية على تقنيات معقدة لتجاوز أنظمة الحماية المتطورة والوصول إلى البيانات الحساسة.
تستخدم البرمجية عدة آليات متقدمة للعمل في الخفاء، تشمل:
- إخفاء المعلومات (Steganography): دمج وتخبئة الحمولات الخبيثة داخل ملفات الصور لعدم إثارة الشكوك.
- اختطاف المكونات (COM hijacking): استغلال مكونات النظام الشرعية في ويندوز لتنفيذ الأكواد الخبيثة.
- استغلال الخدمات السحابية: إساءة استخدام الخدمات السحابية الموثوقة لتأسيس قنوات القيادة والسيطرة (C2).
من هي مجموعة قراصنة APT28؟
تُعرف هذه المجموعة الروسية أيضاً بأسماء متعددة مثل Forest Blizzard و Pawn Storm. وتعد من أخطر المجموعات المتخصصة في التهديدات المستمرة المتقدمة، حيث تركز عملياتها بشكل أساسي على التجسس السيبراني وجمع المعلومات الاستخباراتية.
من هم أبرز ضحايا هجمات APT28 الجديدة؟
تستهدف هذه الحملة، التي يُعتقد أنها نشطة منذ سبتمبر 2025، قطاعات حيوية متعددة في أوكرانيا والدول الأوروبية الحليفة لها. يركز المهاجمون على اختراق البنى التحتية الحساسة وشبكات الدعم اللوجستي.
تشمل قائمة الضحايا والقطاعات المستهدفة في هذه الهجمات:
- أوكرانيا: الهيئات التنفيذية المركزية، خدمات الأرصاد الجوية، الدفاع، وخدمات الطوارئ.
- بولندا: قطاع الخدمات اللوجستية المتخصص في السكك الحديدية.
- رومانيا وسلوفينيا وتركيا: قطاعات النقل البحري والخدمات اللوجستية الحيوية.
- سلوفاكيا والتشيك: شركاء الدعم اللوجستي العسكري المشاركين في مبادرات توفير الذخيرة.
كيف تستغل مجموعة APT28 الثغرات الأمنية (Zero-day)؟
تميزت هذه الهجمات بالسرعة الفائقة في تسليح الثغرات المكتشفة حديثاً. قام المهاجمون باستغلال ثغرتي CVE-2026-21509 و CVE-2026-21513 لاختراق الأهداف، مع تجهيز البنية التحتية للهجوم في منتصف يناير 2026، أي قبل أسبوعين كاملين من الإعلان الرسمي عن الثغرة الأولى.
يُظهر هذا النمط المتقدم من الاستغلال أن المهاجمين امتلكوا معرفة مسبقة ومبكرة بهذه الثغرات الصفرية (Zero-day) قبل أن تقوم شركة مايكروسوفت بإصدار التحديثات الأمنية الرسمية لمعالجتها ضمن حزمة التحديثات في فبراير 2026.
سلسلة الهجوم المزدوجة المعقدة
تشير تحليلات تيكبامين الأمنية إلى استخدام المهاجمين لسلسلة هجوم مترابطة تعتمد على نطاق مشترك. يتم دمج الثغرتين في مسار هجوم واحد شديد التعقيد لضمان نجاح الاختراق.
- المرحلة الأولى (CVE-2026-21509): تجبر الثغرة نظام الضحية على جلب ملف اختصار (.LNK) خبيث ومعد مسبقاً من خوادم المهاجمين.
- المرحلة الثانية (CVE-2026-21513): يتم استغلال الثغرة الثانية لتجاوز ميزات الأمان التلقائية وتنفيذ الحمولات الخبيثة دون إظهار أي نوافذ إنذار للمستخدم.
ما هي أهداف الحملة وبرنامج MiniDoor؟
تنتهي هذه الهجمات المعقدة بنشر حمولات خطيرة للتحكم في أجهزة الضحايا. تشمل هذه الحمولات برنامج MiniDoor، وهو أداة متخصصة في سرقة بيانات البريد الإلكتروني وتحديداً برنامج Outlook، بالإضافة إلى مكونات PRISMEX المخفية بإحكام داخل الصور.
علاوة على ذلك، لوحظ استخدام المهاجمين لإطار العمل مفتوح المصدر COVENANT لإدارة خوادم القيادة والسيطرة بفعالية عالية، وقد عُرفت بعض جوانب ومراحل هذه الحملة الاستخباراتية سابقاً باسم عملية Neusploit.
في ظل هذا التطور المستمر والخطير لأساليب الاختراق، يصبح من الضروري جداً على المؤسسات الكبرى تحديث أنظمتها دورياً وتطبيق سياسات أمان صارمة للحماية من برمجية PRISMEX وهجمات APT28 المتزايدة على مستوى العالم.
